Работа в публичном облаке открывает широкие возможности гибкой разработки и доставки приложений. Так как компании и специалисты DevOps заинтересованы в развертывании кода и функций в кратчайшие сроки, переход в публичное облако — один из важнейших этапов цифровой трансформации. Согласно исследованию Radware, 70% рабочих приложений сейчас запущено в публичном облаке. Это значит, что под термином «кибербезопасность» все чаще подразумевается безопасность облака.

Быстродействие и динамичность облачных сред, кроме преимуществ и возможностей гибкой работы, представляют ряд угроз безопасности, которые организации должны также учитывать. Например, такой проблемой может стать управление доступом и учетными данными в публичном облаке.

Разрешения доступа = поверхность атаки

Разработка приложений, размещенных в публичном облаке, по определению производится удаленно. Для доступа используется удаленное подключение с помощью механизмов и API, которые предоставляет поставщик услуг публичного облака. У администраторов больше нет физического контроля над ресурсами, а весь доступ к их ресурсам осуществляется дистанционно. Однако и хакеры, злоумышленники и другие посторонние лица могут получить доступ к тем же ресурсам с помощью тех же стандартных протоколов, API и методов.

Безопасность разработки зависит от того, у кого есть доступ к приложениям, и от предоставленных полномочий.

В сущности, это означает, что чем больше разрешений вы дадите, тем больше будет поверхность атаки на вашу организацию. Обеспечение безопасности в публичном облаке начинается с контроля выдаваемых разрешений и управления идентификацией и доступом (identity and access management, IAM).

Разные сети, схожие проблемы

Компании все чаще развертывают приложения в облачных средах, и эксперты Radware обнаружили несколько общих проблем, с которыми они сталкиваются. Как уже было сказано, многие из них связаны с управлением разрешениями и учетными данными.

Пандемия и связанные с ней экономические потрясения дали толчок к появлению технологических инноваций, в том числе к масштабным прорывам в сферах облачных и периферийных систем. Давно устоявшиеся компании перестраивают свою бизнес-модель и превращаются в полностью бесконтактные онлайн-сервисы. Согласно отчету Radware "The State of Web Application and API Protection", 70% производственных веб-приложений в настоящее время выполняются в облачных средах. Масштабный перенос рабочих нагрузок в облако и на периферию не ограничится 2022 годом и станет существенным фактором корпоративной безопасности. В этой статье эксперты рассуждают о тенденциях ушедшего года и строят прогнозы на 2022 год.

Масштабы атак продолжают стремительно расти, однако наряду с этим ростом возникает сложная задача отслеживания тактик, техник и процедур (TTPs), используемых различными злоумышленниками («акторами»). Лаборатория информационных технологий CSRC (Computer Security Resource Center) Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) разделяет поведение злоумышленников на уровни тактик, техник и процедур. Отслеживание такого поведения стало основополагающей концепцией для специалистов по анализу киберугроз. Классификация и документирование тактик, техник и процедур злоумышленников позволяет специалистам по информационной безопасности лучше понять их поведение и принципы организации конкретных атак и, следовательно, подготовиться к эффективному реагированию и отражению текущих и будущих угроз.

Определение тактик, техник и процедур (TTPs)

Тактика в аббревиатуре TTP означает обобщенное описание поведения или действий злоумышленника. Например, первоначальный доступ — это тактика, которую будет использовать злоумышленник для проникновения в сеть.

Техника — это подробное описание ожидаемого поведения или действий для конкретной тактики. Например, техника получения первоначального доступа к сети может предполагать фишинговую атаку.

Процедура — это технические подробности или способы использования злоумышленником выбранной техники для достижения своей цели. Например, процедуры для фишинговой атаки будут включать в себя порядок проведения или этапы кампании. К ним будут относиться сбор сведений об инфраструктуре для отправки вредоносного электронного письма, выбор целевых пользователей и планирование способов проникновения на их компьютеры.

К сожалению, отслеживание поведения злоумышленников всегда было сложной задачей, во многом из-за отсутствия единого, повсеместно применяемого, стандартизированного подхода, которого можно было бы придерживаться. Показательный пример приводила компания Radware в первом выпуске справочника Hacker's Almanac, когда одна и та же группа злоумышленников была известна под множеством имен в зависимости от организации из сферы безопасности, раскрывшей и описавшей кибератаку: APT10 (раскрыта компанией Mandiant) также упоминается как menuPass (раскрыта компанией Fireeye), Stone Panda (раскрыта компанией Crowdstrike) или Red Apollo, Cloud Hopper и POTASSIUM (раскрыты корпорацией Microsoft). Такая ситуация чрезвычайно осложняет процесс обсуждения, документирования и информирования о действующих злоумышленниках или группировках.

К счастью, за последние несколько лет в отрасли началось повсеместное внедрение платформы MITRE ATT&CK для корпоративной среды, которая призвана обеспечить стандартизацию и содержит каталог тактик, техник и процедур (TTPs), используемых злоумышленниками, а также их имена и псевдонимы.

«Плохие» боты представляют на сегодняшний день одну из серьезнейших угроз для бизнеса. Вредоносный трафик ботов может привести к снижению производительности веб-сайта, искажению информацию о наличии товаров и услуг онлайн-площадок, нарушению конфиденциальности персональных данных и, как результат, к оттоку клиентов и потери прибыли.

Боты атакуют веб-сайты, мобильные приложения и API, вызывая целый ряд проблем для бизнеса, таких как захват учетных записей, DDoS-атаки на приложения, неправомерное использование API, веб-скрапинг, создание спама, искажение аналитики и фрод (мошенничество) с объявлениями.

В то же время хорошие боты способствуют росту трафика и аудитории веб-ресурсов. Они обходят страницы сайтов для определения ранжирование в поисковых системах и индексации обновлений в реальном времени, а также позволяют пользователям найти лучшую цену на товар или выявить украденный контент. Способность различать хороших и плохих ботов – приоритетная задача для современных компаний. Однако, согласно отчёту Radware по безопасности приложений – Web Application Security Report – 79% организаций не могут точно разграничить трафик полезных и вредоносных ботов.

Трафик ботов и угроза их разрушительного воздействия на бизнес стремительно увеличиваются. Это означает, что специализированные решения для защиты от бот-атак принципиально важны для непрерывности и успешности бизнеса. Ситуация еще больше осложнилась с появлением нового поколения вредоносных ботов (т.н. человекоподобные боты), которые могут имитировать поведение человека/реального пользователя и с легкостью обходить традиционные штатные системы информационной безопасности и защиты от ботов.

В результате переноса рабочих процессов и приложений в облако ИТ-администраторы и организации в целом потеряли контроль над ними и лишились возможности управления многими важными аспектами кибербезопасности. То, что находилось внутри локальной инфраструктуры, оказалось за ее пределами, в публичном облаке. Наравне с ИТ-администраторами хакеры могут получить доступ к рабочим процессам в публичном облаке, используя стандартные способы подключения, протоколы и публичные API-интерфейсы. В результате весь мир превращается во внутрисистемную угрозу. Теперь безопасность рабочих процессов зависит от тех, у кого есть к ним доступ, и уровня предоставленных разрешений.

По опыту экспертов кибербезопасности компании Radware, проблема заключается в практиках использования и гибкости облачных сред. Зачастую администраторы предоставляют высокий уровень доступа целым группам пользователей в своих организациях, чтобы они могли беспрепятственно выполнять рабочие задачи. В реальности большинство сотрудников используют лишь малую часть этих разрешений, не нуждаясь в остальных. Так возникает серьезная брешь в системе безопасности: если учетные данные таких пользователей когда-либо попадут в руки злоумышленников, атакующие получат широкий доступ к конфиденциальной информации и ресурсам организаци. Согласно отчету Gartner под названием Managing Privileged Access in Cloud Infrastructure («Управление правами доступа в облачной инфраструктуре») к 2023 году из-за нерационального предоставления прав доступа будет происходить 75% несанкционированных проникновений в систему.

В постковидную эпоху, отягощенную цифровыми атаками и накаленными отношениями между сторонниками различных партий и взглядов, точная, проверенная информация ценится на вес золота. Без нее невозможно противостоять злоумышленникам, непрерывно совершенствующим свой арсенал средств. В мире, в котором все зависит от коммуникаций, специалистам по защите сетей необходимо хорошо понимать мотивы мошенников и разбираться в их тактиках и методиках, чтобы своевременно отражать угрозы.

Первый шаг к этой цели — понимание картины угроз, точнее, того, почему именно ваша организация может стать мишенью. Организованные сообщества и злоумышленники высокого уровня применяют разнообразные средства и технологии для совершения коммерческих и финансовых преступлений. Как правило, их основная задача — похищение конфиденциальных корпоративных данных, в том числе информации, составляющей коммерческую тайну, сведений о сотрудниках, результатов испытаний и т. д. Подобные действия нарушают базовые гражданские права, представляют угрозу для мировой экономики и создают предпосылки для роста безработицы. Например, по оценкам Европейского центра международной политической экономии (ECIPE), в результате кибершпионажа страны ЕС понесли ущерб в размере 55 миллиардов евро, а также 289 000 человек столкнулись с перспективой потери работы.

После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании» (DoS) с использованием простых инструментов с графическим интерфейсом, потеряло лидирующие позиции. Благодаря возможностям новых IoT-ботнетов, таких как Bashlite и Mirai, началась новая эра DDoS-атак, и они стали популярны в качестве услуги.

Несмотря на то, что активисты группы «Анонимус» продолжают свою деятельность, ее цифровой след за последние пять лет значительно уменьшился. Сегодня все еще можно найти учетные записи участников движения в популярных пабликах социальных сетей и на видеоплатформах, распространяющих локальные пропагандистские сообщения, но их значимость несравнима с влиянием прошлых лет. Однако в ходе недавней акции «Анонимуса» эксперты Radware с удивлением выяснили, что члены группы, до сих пор использующие PasteBin и GhostBin (для централизованного размещения оперативной информации), обновили список целей предыдущих лет и рекомендуют выбирать в качестве мишени Memcached и другие объекты, пригодные для атак с лавинообразным умножением данных. При этом они советуют использовать такие устаревшие инструменты DoS-атак, как LOIC, HOIC, ByteDoS и Pyloris, созданные почти 10 лет назад.

Атаки кибервымогателей представляют нешуточную угрозу. В прошлом году была развернута массивная DDoS-кампания в финансовой сфере с целью получения выкупа. Киберпреступники прошлись по жертвам прошлых атак, которые отказались платить, и запросили еще более высокую цену. Эта кампания закончилась только в середине первого квартала 2021 г. В других отраслях, таких как биотехнология и фармацевтика, наблюдались последовательные мелкие атаки, нацеленные на предприятия и очень похожие на те, что происходили в четвертом квартале 2020 г.

В связи с пандемией организации перешли на удаленный режим работы и начали развивать инфраструктуру удаленного доступа. Исполнители DDoS-атак нашли в этом новые возможности и нацелились на серверную часть инфраструктуры организаций. Были атакованы подразделения международных компаний. Киберпреступники применяли новые тактики воздействия на предприятия, блокируя интернет-соединения и удаленный доступ. Ограничив пропускную способность, злоумышленники серьезно нарушили работу организаций.

Может показаться, что медленные маломощные атаки (так называемые атаки «Low and Slow») остались в прошлом, но практика показывает, что они до сих пор активно используются злоумышленниками. В 2020 году от таких атак пострадали 65 % организаций, при этом 30 % сталкивались с ними ежемесячно. Поэтому давайте уделим им заслуженное внимание и расскажем, как они осуществляются.

Если злоумышленник хочет парализовать работу приложения, самый простой способ — передача избыточного объема трафика с целью отключения сервера приложения (распределенная атака типа «отказ в обслуживании», или DDoS). Однако сегодня существует немало технологий, способных обнаруживать и блокировать такие атаки на основе IP-адресов или сигнатур, управления квотами, а также с помощью специализированных решений для предотвращения DDoS-атак.

В начале 2021г. мир столкнулся с возвращением старой, но очень действенной техники атак — медленными маломощными атаками. К концу февраля количество атак этого типа, направленных против клиентов Radware, выросло на 20 % по сравнению с четвертым кварталом 2020 года.

Организации меняют среды приложений, переносят рабочие нагрузки между локальным, частным и публичным облаком и используют гибридные экосистемы приложений, которые распространяются на несколько сред.

Согласно отчету Radware о защите веб-приложений и API за 2021 год, 47% компаний, которые работают в публичном облаке, разворачивают приложения не в одной, а в нескольких облачных средах. Кроме того, многие организации продолжают разворачивать эти приложения локально или в частных облаках. По данным того же отчета, в таких средах разворачивается 51% производственных приложений.

Компании руководствуются разными причинами для использования несколько платформ, но все они сталкиваются с одной общей проблемой: как защитить быстро меняющуюся среду приложений при наличии нескольких платформ?

Предпосылки

Ретроспектива